Automatisera registrering av Microsoft Defender för molnet med hjälp av PowerShell

Du kan skydda dina Azure-arbetsbelastningar programmatiskt med hjälp av PowerShell-modulen Microsoft Defender för molnet. Med PowerShell kan du automatisera uppgifter och undvika det mänskliga felet i manuella uppgifter. Detta är särskilt användbart i storskaliga distributioner som omfattar dussintals prenumerationer med hundratals och tusentals resurser, som alla måste skyddas från början.

Genom att registrera Microsoft Defender för molnet med PowerShell kan du programmatiskt automatisera registrering och hantering av dina Azure-resurser och lägga till nödvändiga säkerhetskontroller.

Den här artikeln innehåller ett PowerShell-exempelskript som kan ändras och användas i din miljö för att distribuera Defender för molnet i dina prenumerationer.

I det här exemplet aktiverar vi Defender för molnet på en prenumeration med ID: <Subscription ID> och tillämpar de rekommenderade inställningarna som ger en hög skyddsnivå genom att aktivera Microsoft Defender för molnets förbättrade säkerhetsfunktioner, som ger avancerade funktioner för skydd och identifiering av hot:

1. Aktivera den förbättrade säkerheten i Microsoft Defender för molnet.

2. Ange den Log Analytics-arbetsyta som Log Analytics-agenten ska skicka de data som samlas in på de virtuella datorer som är associerade med prenumerationen – i det här exemplet en befintlig användardefinierad arbetsyta (myWorkspace).

3. Aktivera Defender för molnets automatiska agentetablering, som distribuerar Log Analytics-agenten.

4. Ange organisationens CISO som säkerhetskontakt för Defender for Cloud-aviseringar och viktiga händelser.

5. Tilldela Defender för molnets standardsäkerhetsprinciper.

Förutsättningar

De här stegen bör utföras innan du kör Cmdlets för Defender for Cloud:

1. Kör PowerShell som administratör.

2. Kör följande kommandon i PowerShell:

   Set-ExecutionPolicy -ExecutionPolicy AllSigned
   

   Install-Module -Name Az.Security -Force
   

Registrera Defender för molnet med PowerShell

1. Registrera dina prenumerationer till Defender för molnresursprovidern:

   Set-AzContext -Subscription "<Subscription ID>"
   

   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

2. Valfritt: Ange täckningsnivån (Microsoft Defender för molnets förbättrade säkerhetsfunktioner på/av) för prenumerationerna. Om de är odefinierade är dessa funktioner inaktiverade:

   Set-AzContext -Subscription "<Subscription ID>"
   

   Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
   

3. Konfigurera en Log Analytics-arbetsyta som agenterna ska rapportera till. Du måste ha en Log Analytics-arbetsyta som du redan har skapat, som prenumerationens virtuella datorer rapporterar till. Du kan definiera flera prenumerationer för att rapportera till samma arbetsyta. Om den inte har definierats används standardarbetsytan.

   Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/<Subscription ID>" -WorkspaceId "/subscriptions/<Subscription ID>/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"
   

4. Automatisk etablering av Log Analytics-agenten på dina virtuella Azure-datorer:

   Set-AzContext -Subscription "<Subscription ID>"
   

   Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision
   

   Kommentar

   Vi rekommenderar att du aktiverar automatisk etablering för att se till att dina virtuella Azure-datorer skyddas automatiskt av Microsoft Defender för molnet.
   Som en del av den uppdaterade strategin för Defender för molnet krävs inte längre Azure Monitor Agent (AMA) för Defender for Servers-erbjudandet. Det krävs dock fortfarande för Defender för SQL Server på datorer. Därför är distributionen av Azure Monitor Agent (AMA) med Defender for Cloud-portalen tillgänglig för SQL-servrar på datorer med en ny distributionsprincip. Läs mer om hur du migrerar till automatisk etableringsprocess för SQL Server-mål för Azure Monitoring Agent (AMA).

5. Valfritt: Vi rekommenderar starkt att du definierar säkerhetskontaktuppgifterna för de prenumerationer som du registrerar, som ska användas som mottagare av aviseringar och meddelanden som genereras av Defender för molnet:

   Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
   

6. Tilldela standardinitiativet Defender for Cloud-princip:

   Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
   

   $Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} 
   
   New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
   

Du har registrerat Microsoft Defender för molnet med PowerShell.

Nu kan du använda dessa PowerShell-cmdletar med automationsskript för att iterera programmatiskt mellan prenumerationer och resurser. Detta sparar tid och minskar sannolikheten för mänskliga fel. Du kan använda det här exempelskriptet som referens.

Se även

Mer information om hur du kan använda PowerShell för att automatisera registrering till Defender för molnet finns i följande artikel:

• Az.Security

Mer information om Defender för molnet finns i följande artiklar:

• Ange säkerhetsprinciper i Microsoft Defender för molnet. Lär dig hur du konfigurerar säkerhetsprinciper för dina Azure-prenumerationer och resursgrupper.
• Hantera och svara på säkerhetsaviseringar i Microsoft Defender för molnet. Lär dig att hantera och åtgärda säkerhetsaviseringar.